RADIUS ユーザ アカウントでの認可権限の定義
外部 RADIUS サーバからの Firepower Threat Defense REST API へのアクセスを提供できます。RADIUS 認証および認可を有効にすることにより、さまざまなレベルのアクセス権を付与でき、すべてのユーザがローカル管理者アカウントを使用してログインする必要がなくなります。
(注) |
これらの外部ユーザは、Firepower Device Manager についても認可されます。 |
ロールベースのアクセス制御(RBAC)を提供するには、RADIUS サーバ上のユーザ アカウントを更新して cisco-av-pair 属性を定義します。この属性はユーザ アカウントで正しく定義されている必要があります。正しく定義されていないと、ユーザの REST API へのアクセスが拒否されます。cisco-av-pair 属性でサポートされる値は、次のとおりです。
-
fdm.userrole.authority.admin はフル管理者アクセスを提供します。これらのユーザは、ローカル管理者ユーザが実行できるすべてのアクションを実行できます。
-
fdm.userrole.authority.rw は読み取り/書き込みアクセスを提供します。これらのユーザは、読み取り専用ユーザが実行できるすべてのアクションを実行でき、設定を編集および展開することもできます。ただし、システム クリティカルなアクションだけは制限されます。これには、アップグレードのインストール、バックアップの作成と復元、監査ログの表示、および他のユーザのログオフが含まれます。
-
fdm.userrole.authority.ro は読み取り専用アクセスを提供します。これらのユーザは、ダッシュボードと設定を表示できますが、変更できません。ユーザが変更しようとすると、権限が不足していることを示すエラー メッセージが表示されます。